Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu QuickCMS i koordynował proces ujawniania informacji.
Podatność CVE-2026-1468: QuickCMS jest podatny na atak typu Cross-Site Request Forgery w wielu miejscach w produkcie. Atakujący może przygotować specjalną stronę internetową, która po odwiedzeniu przez administratora automatycznie wyśle żądanie POST, tworząc produkt o treści zdefiniowanej przez atakującego. Oprogramowanie nie implementuje żadnych mechanizmów ochronnych przeciwko tego typu atakom. Wszystkie formularze dostępne w tym systemie są potencjalnie podatne.
Producent został wcześnie poinformowany o tej podatności, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatność jedynie w wersji 6.8 — inne wersje nie były testowane i również mogą być podatne.
Podziękowania
Podatność zgłosił Michał Biesiada, za co dziękujemy.
